Slik kjører vi sårbarhetsprogrammet for nye kunder i Tenable One
Ukentlig, månedlig og kvartalsvis rytme FM CyberSecurity kjører på Tenable One for norske SMB-kunder, med folkene, møtene og bevissporet.
Her er den ukentlige, månedlige og kvartalsvise kadensen FM CyberSecurity kjører på Tenable One for norske SMB-kunder, med folkene, møtene og bevissporet revisoren kommer til å spørre etter.
Denne artikkelen handler om det som skjer etter at plattformen er live. Selve påkoblingen, første skanning og oppdagelse av aktiva, altså de to første ukene, dekker vi i et eget skriv om første sårbarhetsanalyse i Tenable One. Det dere leser nå, handler om det løpende programmet: hvem som ser på hva, hvilken dag, og hva som blir skrevet ned.
1. Ukentlig skanning og triage
Den ukentlige jobben er å skanne, vurdere de nye funnene og bestemme hvilke som bryter køen.
FM CyberSecurity kjører autentiserte skanninger mot kundens estate på ukesplan, og daglig for aktiva eksponert mot internett. Tirsdag morgen åpner en navngitt FM CyberSecurity-analytiker Tenable Vulnerability Management, filtrerer på Vulnerability Priority Rating (VPR) og skriver et triage-notat på én side: nye kritiske sårbarheter på aktiva merket forretningskritiske, aktivt utnyttede saker fra CISA Known Exploited Vulnerabilities, og alt som har krysset en terskel styret har vedtatt. IT-ansvarlig hos kunden får notatet før lunsj. Trenger ingenting handling, går notatet ut likevel. Rytmen er beviset.
2. Månedlig gjennomgang av forretningskontekst-tagger
Hver måned ser vi på aktiva-taggene på nytt, for virksomheten har flyttet seg siden sist.
Tenable Vulnerability Management lar dere merke aktiva med Kategori:Verdi-par (Kontrakt:StørsteKunde, System:Lønn, Ansvarlig:ØkonomiLead, SLA:Stram) og bruke dem manuelt eller gjennom dynamiske tag-regler. Taggingen er nettopp det som gjør en generisk CVE-liste om til en liste rangert etter hva foretaket har lovet kontraktsfestet å beskytte. I et sammensatt Tenable One-oppdrag dette kvartalet fanget den månedlige tagg-gjennomgangen 14 nyopprettede skyaktiva som ennå ikke var merket mot kontrakten de tjente. Uten gjennomgangen ville de blitt liggende i halen.
Det månedlige møtet varer 45 minutter, med IT-ansvarlig hos kunden, og når kontraktsporteføljen er stor, en representant fra salg eller juridisk. Vi tagger ikke i et vakuum.
3. Unntaks- og eskaleringsflyt
Når et kritisk funn lander på et kontraktsbærende system, er flyten dokumentert, ikke improvisert.
Ruten er kort. FM CyberSecurity-analytikeren oppretter en sak i kundens eksisterende sakshåndteringssystem (Jira, ServiceNow, Halo, hva enn som allerede står der) via Tenable-koblingen, navngir aktivumet, navngir kontrakts-taggen og setter IT-ansvarlig hos kunden som ansvarlig. Kunden rydder opp, eller godtar risikoen skriftlig. Er saken aktivt utnyttet og kunden ikke får patchet innenfor avtalt vindu, eskalerer FM CyberSecurity til en navngitt styrekontakt. Tre personer ser hvert kritisk funn: FM CyberSecurity-analytikeren, IT-ansvarlig hos kunden, og kundens utpekte eskaleringskontakt på toppledernivå. Ingen fjerde person legges til uten grunn.
4. Månedlig eksponeringstrend-rapport
Den månedlige rapporten holdes kort med vilje. To sider, sendt første virkedag i måneden.
Den navngir fire tall: åpne kritiske funn på aktiva merket forretningskritiske, gjennomsnittlig tid til utbedring for kritiske funn lukket den måneden, antallet nye aktivt utnyttede saker som traff estaten, og trenden mot de tre foregående månedene. Ingen CVE-liste. Ingen CVSS-graf. IT-ansvarlig sender rapporten videre til økonomidirektøren eller driftsdirektøren med én linje kontekst. Er trenden flat eller bedrer seg, er det selve budskapet. Beveger den seg feil vei, sier rapporten hvorfor og hva FM CyberSecurity foreslår videre.
5. Kvartalsvis styre-rettet gjennomgang
Hvert kvartal setter FM CyberSecurity seg ned med kunden i 60 til 90 minutter og skriver styrepapiret.
Agendaen er den samme hver gang: hva som har endret seg i estaten (nye systemer, nye kontrakter, nye leverandører), hva som har endret seg i trusselbildet (nye aktivt utnyttede saker relevante for stacken deres), hva programmet har levert (lukkede funn, gjennomsnittlig utbedringstid, antall unntak), og hva vi anbefaler for neste kvartal. Resultatet er et dokument på 10 til 12 sider som styret kan lese på vei inn i møtet. Dessuten er det dokumentet Finanstilsynet eller en ISO 27001-revisor kommer til å be om hvis de ber om noe.
6. Bevispakke for revisjoner
Den revisjonsklare bevispakken bygges gjennom hele året, ikke ved revisjonstidspunktet.
For ISO 27001 (Annex A.8.8 om håndtering av tekniske sårbarheter) og DORA artikkel 24 (testing) spør revisoren etter omfanget av programmet, skannepolicyen, oversikten over aktiva med tagger, sårbarhetsregisteret, gjennomsnittlig utbedringstid, unntaksregisteret og styrerapporteringssporet. Hvert dokument ligger i ett felles arbeidsområde, datostemplet og versjonskontrollert. FM CyberSecurity gir kunden en bevisindeks slik at revisoren finner hvert dokument på under to minutter. Det tekniske arbeidet er som regel i orden. Papirsporet er det som blir spurt etter.
7. Automatisering mot menneskelig vurdering
Vi lar Tenable Ones ExposureAI og VPR gjøre det de er gode på. Vi lar dem ikke kjøre møtet.
ExposureAI oppsummerer nye funn, løfter fram mønstre på tvers av eksponeringsgrafen og besvarer spørsmål om aktiva-risiko på naturlig språk. VPR rangerer listen etter forventet utnyttelses-sannsynlighet, ikke etter rå CVSS. Begge reduserer støyen analytikeren vasser gjennom en tirsdag morgen. Ingen av dem tar over den menneskelige avgjørelsen om et funn virkelig sitter på et kontraktsbærende system, om kunden kan patche denne uka eller trenger en kompenserende kontroll, eller om trenden krever en eskalering til styret. Modellen rangerer. Den navngitte FM CyberSecurity-analytikeren bestemmer. Det skillet ligger skrevet inn i runbooken.
Inkluderer kundens stack hostede AI-tjenester, utvider Tenable One AI Exposure-modulen (allment tilgjengelig siden januar 2026) det samme programmet til SaaS-AI-verktøy og agenter. Det er samme rytme på en ny aktivaklasse, ikke et eget program.
8. Hva som endrer seg fra år til år
Programmet er ingen frossen runbook. Vi oppdaterer det når inputene endrer seg.
Hvert år utvider omfanget seg (nye forretningssystemer, nye skykontoer, nye oppkjøp), terskelen strammes (styret blir enig om et lavere antall kritiske-på-kontrakt etter hvert som programmet modnes), og rapporten krymper (færre sider, skarpere tall). Tenables produktnavn og moduler beveger seg dessuten (Tenable.io ble Tenable Vulnerability Management, AI Exposure ble allment tilgjengelig i 2026). FM CyberSecurity sporer plattformendringene og oppdaterer kundens runbook skriftlig. Vi antar ikke at programmet fra år tre fungerer i år fire uten en gjennomgang.
Neste steg
Ta kontakt med Anders i eksponeringspraksisen vår for en gjennomgang på 30 minutter av hvordan rytmen over ville passet estaten deres, kontraktene deres og det eksisterende sakshåndteringssystemet. Vi starter ikke med en skanning. Vi starter med taggene.
For bakgrunn på hvorfor vi valgte Tenable, se hvorfor vi valgte Tenable for eksponeringshåndtering. For grensen mellom sårbarhetsskanning og eksponeringshåndtering som begreper, se eksponeringshåndtering mot sårbarhetshåndtering.
FAQ
Hvordan skiller dette seg fra en enkeltstående skanning?
En enkeltstående skanning gir dere et øyeblikksbilde. Et program gir dere en trend, en ansvarlig og et bevisspor. Forskjellen mot revisor er direkte: én PDF datert i fjor tilfredsstiller ikke ISO 27001 Annex A.8.8 eller DORA artikkel 24, men et år med ukentlige triage-notater, månedlige rapporter og et kvartalsvis styrepapir gjør det. Forskjellen mot styret er like direkte: et øyeblikksbilde reiser spørsmålet “hva gjorde dere med det”, mens et program besvarer spørsmålet hver måned.
Hva skjer når en kritisk CVE slipper midt i uka?
Den ukentlige rytmen er gulvet, ikke taket. Når en sak med høy VPR eller aktiv utnyttelse treffer Tenables feed, sjekker FM CyberSecurity-analytikeren kundens estate samme dag, oppretter sak hvis et tagget aktivum er rammet, og varsler IT-ansvarlig på melding, ikke på e-post. Runbooken navngir terskelverdiene skriftlig, slik at analytikeren slipper å finne opp avgjørelsen på sparket.
Hvordan integrerer det seg med sakshåndteringen vår?
Tenable One-koblinger sender funn inn i kundens sakshåndteringssystem (Jira, ServiceNow, Halo og andre via API). Saksposten ligger der IT-teamet hos kunden allerede jobber. FM CyberSecurity ber ikke kunden logge inn i en ny konsoll for å lukke saker. Vi ber IT-ansvarlig ha lesetilgang til Tenable One for den månedlige gjennomgangen og det kvartalsvise styrepapiret.
Hva må kunden gjøre?
Tre ting, fra uke til uke: hold aktiva-taggene oppdaterte etter hvert som virksomheten endrer seg (vi kjører den månedlige gjennomgangen sammen med dere, dere bekrefter endringene), lukk sakene vi åpner mot IT-teamet deres, eller skriv en linje med risikoaksept, og møt opp på den kvartalsvise styrepapir-gjennomgangen. Alt annet, altså skanningen, triagen, rapportskrivingen og revisjonspakken, ligger hos FM CyberSecurity.
Kan vi se hva FM CyberSecurity gjør inne i plattformen?
Ja. IT-ansvarlig hos kunden og en navngitt person i toppledelsen har lesetilgang til Tenable One. Runbooken, skannepolicyene, tagg-taksonomien, rapportmalene og eskaleringstersklene ligger alle i et felles arbeidsområde som kunden eier. Skiller dere lag med FM CyberSecurity, blir programmet igjen hos dere.
